//Threat Intelligence

Threat Intelligence für LogPoint

Der Schlüssel zur Erkennung von ausgeklügelten Bedrohungen besteht darin, Ihre eigenen Schwachstellen zu verstehen und über ausreichende Erfahrung und Informationen zu verfügen, um Risiken zu reduzieren. Während es oft schwierig ist, Indikatoren für die reale Gefahr zu identifizieren und es unmöglich ist, sich auf jede neue Bedrohung vorzubereiten, hilft die optimale Nutzung der die verfügbaren Informationsquellen Ihrem Unternehmen, Bedrohungen zu priorisieren und Ihr Waffenarsenal zu erweitern, falls es zu einem Angriff kommen sollte.

Der Schlüssel zu Advanced Threat Protection ist kontextuelle Information.

Threat Intelligence, ein Aspekt einer ganzheitlichen Cybersicherheitsstrategie, hilft Ihnen, die Risiken im Zusammenhang mit den häufigsten und schwersten externen Bedrohungen wie Zero-Day-Threats, Advanced Persistent Threats und Exploits zu verstehen. Mit ihr können Sie Daten zu den neuesten Bedrohungen aus verschiedenen Quellen erfassen und analysieren. Threat-Intelligence-Informationen von Sicherheitsanbietern, Intelligence-Gruppen oder aus Verbindungen zu Ihrem eigenen Netzwerk lösen Sicherheitsmaßnahmen aus, die bösartige Verhaltensweisen stoppen, und helfen Ihnen so, die Angriffe abzuwehren.

Buchen Sie eine Demo

Würden Sie gerne selbst sehen, wie LogPoint SIEM und UEBA neu definiert? Buchen Sie untenstehend eine Demo und finden Sie heraus, wie LogPoint mit jeder Datenquelle funktionieren kann.

Proaktiv zu sein ist der Schlüssel

Echtzeit-Feeds kombinieren Informationen und frühere Erfahrungen anderer Organisationen in einer einzigen Quelle und liefern Ihrem Team Kontextinformationen, um besser fundierte strategische Entscheidungen zu treffen und so Angriffe abzuwehren.

Das Erkennen einer Bedrohung innerhalb großer Mengen an erfassten Informationen kann jedoch der sprichwörtlichen Suche nach der Nadel im Heuhaufen entsprechen. Möglicherweise fragen Sie sich:

  • Wonach suche ich eigentlich?
  • Wie kann ich normale und böswillige Aktivitäten, die auf einen Angriff hindeuten könnten, voneinander unterscheiden?

Der Grund, warum die Integration von SIEM und Threat Intelligence von einigen als zweischneidiges Schwert angesehen wird, liegt in der fehlenden Kalibrierung. Wir bei LogPoint glauben, dass nicht das Informationsvolumen, sondern die richtige Implementierung zu wahren Ergebnissen führt.

Während die fortlaufende Analyse von Unternehmens-Protokolldaten an sich durchaus wertvoll ist, ist der Schutz der nächsten Generation vor fortgeschrittenen Bedrohungen nur möglich, indem Sie Ihre iinternen Daten mit den relevanten Kompromissindikatoren vergleichen. Durch die Optimierung Ihrer internen Daten für die Bedrohungen, denen Ihre Branche am stärksten ausgesetzt ist, schafft das mit TI-Feeds erweiterte LogPoint SIEM eine hochgradig fokussierte Lösung, um die bestmöglichen Erkenntnisse aus den Protokolldaten Ihres Unternehmens für maximale Effizienz zu gewinnen.

Die Integration von SIEM und Threat Intelligence ermöglicht Kunden eine noch schnellere Korrelation und Bewältigung der Bedrohungen, um so die Fähigkeit zur Überwachung, zum Management sowie zur Behebung von Cyberthreats zu verbessern. Mithilfe der LogPoint Architektur können Unternehmen jetzt von einer beschleunigten Möglichkeit profitieren, mehrere in ihrer Infrastruktur enstandene Bedrohungsindikatoren mit externen Bedrohungs-IOCs zu korrelieren.

Wir ermöglichen Ihrem Sicherheitsteam nicht nur, proaktiv bei der Verteidigung Ihrer kritischen Vermögenswerte zu sein, sondern helfen Ihnen auch dabei, ein umfassendes Situationsbewusstsein zu erzielen, sodass Sie immer wissen:

  • Wann Sie angegriffen wurden
  • Ob ein neuer potenzieller Angriff ansteht
  • Wer das Ziel innerhalb Ihrer Organisation ist und warum
  • Welche Schwachstellen die Angreifer ausnutzen wollen

Threat Intelligence, unterstützt durch das LogPoint SIEM

Die LogPoint SIEM Threat Intelligence Anwendung bietet eine einfache, effiziente und erweiterte Plattform für Bedrohungsinformationen, mit der neu auftretende Risiken in Ihrer Infrastruktur identifiziert und in mehr als 100 Feeds mit Bedrohungsinformationen integriert werden können. Mithilfe der einzigartigen LogPoint Taxonomie werden die Daten in ein gemeinsames, einheitliches Sprachformat konvertiert und anschließend von LogPoint mit Ihren Unternehmensprotokolldaten verglichen.

Auf diese Weise können Analysten die Untersuchung von Ereignissen automatisieren und mehrere hunderttausende von Anzeichen für mögliche Bedrohungen überprüfen, um die Daten basierend auf bekannten Angriffsmethoden auszuwerten. Wie wirksam der Schutz einer organisatorischen Infrastruktur ist, hängt unvermeidlich von der Kenntnis der charakteristischen Techniken einer Bedrohung ab, so dass Daten über diese Angriffsmethode oder andere Beweise für eine Kompromittierung identifiziert und gesammelt werden können.

Mit LogPoint erfolgt die Weitergabe dieser Informationen mit einer beispiellosen Geschwindigkeit nahezu in Echtzeit.

Die Analyse nützlicher Informationen, die es ermöglichen, verschiedenen Bedrohungen entgegenzuwirken, ist unter Berücksichtigung der permanenten Entwicklung der Risiken und der Angriffsmethoden stets eine komplexere Herausforderung.

LogPoint überprüft nicht nur mehrere hunderttausende von Kompromissindikationen, um Sie auf bekannte Angriffe aufmerksam zu machen, sondern fordert Sie auch proaktiv auf, Maßnahmen zu ergreifen, wie z. B. das Blockieren bekannter fehlerhafter IP-Adressen, falls eine Warnung vor einer potenziellen Bedrohung ausgegeben wird.

Eine flexible Plattform, die den Anforderungen Ihres Unternehmens entspricht

Die Threat Intelligence Automatisierung in LogPoint bietet die Möglichkeit, Warnmeldungen unabhängig von Datenstruktur, Taxonomie und Semantik zu generieren. Mit LogPoint SIEM Threat Intelligence können Sie von einer großen Auswahl an kommerziellen, gemeinschaftlich betriebenen und ausgezeichneten Open Source Threat Intelligence Tools oder Feeds, wie Emerging Threats oder Critical Stack sowie STIX/TAXII-kompatiblen Anbietern, profitieren. Wir unterstützen auch das CSV-Format für Threat Intelligence Feeds. Auf diese Weise erhalten Sie plattformübergreifende Einblicke in potenzielle Bedrohungen in Echtzeit, sodass Ihr Sicherheitsteam Fehlalarme effektiv beseitigen und sich darauf konzentrieren kann, ausgeklügelte Bedrohungen aufzudecken. Und noch besser, wenn Ihnen etwas an Informationen fehlt, kann es individuell zugefügt werden.

Wie schaffen wir das?

LogPoint Threat Intelligence Indicators

Challenge

Herausforderung
Identifizieren von Bedrohungsindikatoren bei dem Umgang mit großen Logvolumen

Lösung

Analysten können Abfragen mit generischen Befehlen für Informationen über Bedrohungen verwenden, um nur kritische Hinweise auf mögliche Gefahren herauszufiltern. In LogPoint kann die Filterung generisch sein und Ihnen alle Übereinstimmungen mit der Bedrohungsdatenbank bzw. basierend auf einer bestimmten Bedrohungskategorie oder einer bestimmten Risikobewertung anzeigen. Mit diesem Ansatz ermöglichen wir Ihren Analysten, den Untersuchungsprozess zu vereinfachen und sich auf die tatsächliche Bedrohung in den Cyber Threat Intelligence Dashboards zu konzentrieren.

Query Example:
source_address IN HOMENET | process ti(destination_address) | chart count() as cnt by cs_score, source_address order by cnt desc

LogPoint Threat Intelligence Indicators
LogPoint Threat Intelligence Geographical Distribution

Challenge

Schwierigkeiten bei der richtigen Haltung gegenüber Cyber-Sicherheitsrisiken.

Lösung

Basierend auf der einzigartigen Taxonomie für die Bewertung der Bedrohungsindikatoren können Analysten von vollautomatischen Mechanismen zur Reaktion auf Vorfälle profitieren, bei denen Abfragen zum numerischen Vergleich verwendet werden. Außerdem können sie die geografische Verteilung der Angriffsquellen verstehen.

Warnabfragen können basierend auf den Ergebnissen für Bedrohungsindikatoren, Risikowerten/-funktionen sowie auch basierend auf dem Herkunftsland für jede dieser Warnungen definiert werden. Mit dieser Automatisierung von Bedrohungsinformationen ermöglichen wir Ihrem Sicherheitsteam, kenntnisreichere strategische Entscheidungen zu treffen, die zu einer effektiveren Reaktion und Behebung von Vorfällen denn je führen.

Query Example:
norm_id=* | process ti(destination_address) | search cs_score>80 | process geoip(destination_address) as country | chart count() by country() order by count() desc

LogPoint Threat Intelligence Enrichment

Challenge

Eine historische Analyse ist nicht möglich.

Lösung

Durch die Verwendung sowohl der statischen als auch der dynamischen Anreicherung können Analysten von einer Reihe einzigartiger Optionen profitieren und die TI Informationen in LogPoint optimal nutzen.

Durch statische Anreicherung eines Bedrohungsindikators (IP-Adresse oder Domainname) können Ihre Analysten einen sofortigen Überblick über potenzielle Risiken erhalten. In LogPoint SIEM Threat Intelligence wird das Risiko stets durch eine Reihe angereicherter Schlüssel-Wert-Paare, wie Kategorie und Risikobewertung, veranschaulicht. Diese Schlüssel-Wert-Paare werden dann indexiert und auf den Datenträgern gespeichert, bis sie von der Aufbewahrungsrichtlinie freigegeben werden.
Bedrohungsquellen können nicht immer in Echtzeit erkannt werden, was dazu führt, dass schwerwiegende Angriffe unentdeckt bleiben. Um ähnliche Szenarien zu vermeiden, können Analysten mithilfe der dynamischen Anreicherung in LogPoint Angriffe nachträglich untersuchen und so schwer erkennbare Indikatoren aufdecken.

Query Example:
Statisch: Ohne die Verwendung des Befehls „process ti()“ command
norm_id=* source_address IN HOMENET | chart count() by cs_category, cs_score, source_address, destination_address

Dynamisch: Mit Verwendung des Befehls „process ti()“ command
norm_id=* | process ti(destination_address)

LogPoint Threat Intelligence Enrichment

+ 1 STIX/TAXII-Unterstützung

STIX/TAXII verwendet die RESTful-API mit einer speziellen Definition von Diensten und Meldungen für den Datenaustausch. LogPoint verwendet den STIX 1.x-Feed im JSON-Format, indem API-Anforderungen an den STIX/TAXII-Server übermittelt werden.

Erforderliche Parameter:

  • url: vollständiger Hostname des Feed-Servers
  • user name (Benutzername): Identifizierung für den Zugriff auf den Feed
  • Password (Passwort): Passwort für die Authentifizierung
  • fetch interval (Abrufintervall): Zeitintervall, in dem der neue Feed abgerufen wird
  • age limit (Altersbegrenzung): Zeitintervall, während dem der Feed aufbewahrt wird

Sobald LogPoint die Threat-Feeds aufnimmt, werden diese gemäß der Standard Taxonomie für LogPoint SIEM-Bedrohungsinformationen analysiert, was zu einem problemlosen und schnellen Setup führt.

Und das Beste?

Die Threat-Intelligence-Anwendung von LogPoint ist ein in der LogPoint-Lizenz enthaltener kostenloser Plug-In. Der Download steht in unserem Help Center bereit. Threat-Intelligence-Feeds können kommerziell, Open Source oder kundenspezifisch sein.